Les dommages liés à la criminalité sur Internet dépassent 700 milliards d’euros. Qui n’a pas dans son entourage un proche qui a perdu une somme, même minime, à cause d’une mauvaise affaire conclue sur le Web ?

Préserver la réputation de votre activité en ligne et sécuriser sa relation client.

« Nous préparons des packs très attractifs pour renforcer le climat de confiance dans le commerce électronique. Certains de nos produits sont accessibles à partir de 10 euros.»

Tout le monde consulte des sites de petites annonces pour dénicher une bonne affaire, ou mettre un objet en vente.

La recherche de produits et de services sur Internet est devenue une habitude. Les escrocs, les professionnels de l’arnaque l’ont bien compris. Ils débordent d’imagination pour attirer des victimes dans leurs filets : dons de voiture, d’animaux, proposition d’affaires, rencontres, vente d’objets à un prix incroyable…..

Une protection accessible à tous
« La tranquillité a un prix. On ne peut pas toujours se fier aux mesures de contrôle et de modération annoncés sur les sites d’annonces, ni d’ailleurs sur les ventes aux enchères, qui ne sont toujours pas complètement sécurisés. Sinon, on n’évoquerait pas aussi souvent dans la presse les victimes d’arnaques. Il vaut mieux investir 10 ou même 50 euros pour une opération de plusieurs centaines d’euros »

Un constat : mieux vaut prévenir que guérir
Si vous perdez de l’argent dans une mauvaise transaction sur Internet, vous avez très peu de chance de le récupérer, il est certainement déjà parti en Afrique ou dans les pays de l’Est. Dans les échanges électroniques, rien de vaut la prévention.

Vigifraude vous accompagne tout au long de votre transaction

Vous vendez : Vigifraude vous délivre un certificat qui atteste la conformité de votre annonce avec les éléments vérifiés (identité, numéros de téléphones, adresse…). Vous rassurez vos clients potentiels. En cas de litige, ils disposeront d’éléments pour vous poursuivre, parce que vous serez bien domiciliés en France.

Vous achetez : avant d’envoyer de l’argent, ou de communiquer des informations personnelles, Vigifraude analyse les annonces de votre choix, et vérifie la conformité de l’opération.

Protégez votre identité et préservez les preuves

Vous pouvez ouvrir un compte mail Vigifraude qui servira dans vos échanges avec vos correspondants, et dissuadera déjà un certain nombre d’arnaqueurs.

Plus d’information sur ce nouveau service sur l’e-reputation : www.vigifraude.com.

BitDefender, l’un des fournisseurs les plus récompensés de solutions antivirus et de sécurité des données, publie le Top 10 des menaces du mois de mars 2008.Ce Top 10, concernant les menaces les plus diffusées du mois de mars, fait apparaître un regain d’activité très large des infections par des trojans de type Peed (Aussi connu sous le nom de « Storm Worm »). Les variantes de ce trojan comptent en effet pour plus de la moitié du total des malwares détectés le mois dernier.

La technique de diffusion de malware la plus répandue sur ce mois-ci est répertoriée par BitDefender sous l’appellation BehavesLike:Trojan.ShellHook. Cette technique permet à un code malveillant de s’exécuter en premier, alors qu’une application légitime est lancée.

Les trojans ont la côte 

« C’est une méthode pratique pour exécuter un code malveillant en disposant des droits de l’utilisateur, mais sans avoir à lui demander une confirmation ». déclare Sorin Dudea Directeur de la recherche antivirale des BitDefender Labs. « Cependant cette technique n’est pas totalement furtive, même si cela est plutôt une caractéristique commune à de nombreux types de codes malveillant ces derniers temps ».

Le reste du classement est occupé en grande majorité par d’antiques mais persistants malwares de type « Mass mailer ».

1 Trojan.Peed.Gen 55.58 %
2 Win32.Netsky.P@mm 5.97 %
3 BehavesLike:Trojan.ShellHook 2.07 %
4 Win32.NetSky.D@mm 1.76 %
5 Win32.Netsky.AA@mm 1.54 %
6 Win32.Nyxem.E@mm 1.22 %
7 Win32.Netsky.B@mm 1.07 %
8 Win32.Netsky.C@mm 1.03 %
9 Trojan.Kobcka.CZ 0.83 %
10 Win32.Mydoom.M@mm 0.72 %
OTHERS 28.21 %

À propos de BitDefender:
Les technologies antivirus BitDefender protègent aujourd’hui plusieurs dizaines de millions d’utilisateurs dans plus de 180 pays, directement ou via leur intégration dans des applications. Les moteurs de détection antivirus BitDefender sont certifiés par les organismes indépendants ICSA Labs, Checkmark, CheckVir, AV-Comparatives et Virus Bulletin. BitDefender a par ailleurs reçu le prix de l’innovation technologique décerné par la Commission Européenne (www.ist-prize.org). Les solutions Linux sont certifiées « RedHat Ready » et Mandriva. Les solutions BitDefender sont rééditées en exclusivité par Editions Profil sur les marchés francophones.

Question: utilisez-vous BitDefender, quel antivirus utilisez-vos ?

 Le bilan 2007
2007 a été marqué par l’arrivée massive de nouveaux programmes malveillants (+339% en 1 an), mais également par les chevaux de Troie espions et les voleurs de données. On note aussi :

• l’accroissement des attaques des joueurs en ligne : 2 dérobeurs de mots de passe de jeux en ligne OnLineGames et Magania apparaissent dans le Top 10 des familles de virus,

• et le niveau faible des attaques sur les téléphones portables : les attaques sur Symbian ont été divisées par 3 et G DATA a comptabilisé 26 nouveaux parasites seulement.

Les perspectives pour 2008

• Encore plus de logiciels malveillants basés sur Internet. Le Web 2.0 offre de nouvelles possibilités aux utilisateurs, mais malheureusement, aussi aux cyber-criminels.
• Davantage de messages électroniques personnalisés : Le nombre de SPAM augmentera de peu. Cependant, ils seront plus ciblés et plus efficaces et poseront un vrai problème dans les forums et les blogs.
• Le hameçonnage via les messages électroniques et les sites Web va considérablement diminuer, même dans le secteur bancaire. Les nouvelles cibles seront les plateformes de réseaux sociaux, les boutiques en ligne…

A cela s’ajoutent quelques nouveautés

• Plus de chantage : les chantages sur les fichiers image et Office cryptés devraient augmen-ter.
• La virtualisation : la possibilité de développement de machines virtuelles dans les nouveaux processeurs risque d’entraîner la création de nouveaux rootkits (malwares destinés à compromettre un système pour en obtenir et y maintenir un accès administra-teur).
• Les technologies nouvelles et évolutives. Vista et Mac OSX vont atteindre les 10% de parts de marché, ce qui les rend potentiellement plus intéressants pour les cyber-criminels. Des attaques tests sont aussi à prévoir dans le domaine de la VoIP et des consoles de jeux fonctionnant avec Internet.

Question: redoute-vous l’emergence de nouvelles menaces en matière de cyber-crime, avez-vous été victime de ce nouveau fléau ?

 

Selon Xavier Paradon, Directeur Technique de Valtech Training et concepteur du cours Hacking des applications Web, « la très grande majorité des personnes impliquées dans les projets d’applications Web (développeurs, chefs de projet, maîtrise d’ouvrage…) n’ont qu’une très vague idée des risques encourus par une application Web développée sans se préoccuper de sécurité. La plupart d’entre elles considèrent que la sécurité est essentiellement liée au monde des réseaux et que les réponses doivent donc être apportées par les administrateurs systèmes et réseaux. Pourtant il ne sert à rien de sécuriser en profondeur son réseau pour laisser de gros trous de sécurité dans ses applications ».

Les applications Web sont très peu protégées

Il suffit parfois simplement d’utiliser les champs de saisie de l’application, avec du code SQL approprié, pour s’introduire dans le système et avoir accès aux données. Face à ce genre de situation, il se produit souvent une prise de conscience au sein de l’équipe projet qui découvre combien son application est ouverte aux internautes plus ou moins bien intentionnés, comme aux utilisateurs peu vigilants. Les remèdes sont pourtant souvent simples et peu coûteux. Dans la plupart des cas, ils ne nécessitent pas d’investissement matériel ni logiciel mais une culture commune chez les développeurs, soit un peu de temps homme, et le suivi scrupuleux de règles de codage.

Une formation pour éviter aisément les attaques les plus courantes

Fort de ce constat Valtech Training a développé une formation destinée à sensibiliser à ce problème tous les acteurs des projets de développement d’applications Web, du directeur informatique au concepteur en passant par les chefs de projet. Dans un premier temps, afin d’unifier le niveau de connaissance, ce cours revient sur les bases de la sécurité (authentification, SSL, VPN, Virus…) comme sur celles spécifiques à la saisie et l’authentification sur le Web (re-post des données, gestion des sessions authentifiées…). Puis les attaques les plus courantes sont analysées (SQL Injection, détournement de sessions authentifiées, Cross Site Scripting…). Enfin, les règles à suivre afin d’éviter simplement les attaques sont dispensées (masquer les URL, valider les données, contrôle d’accès, accès au SGBD…). Au final, le participant repart sensibilisé et peut mettre en œuvre simplement une vraie stratégie pour contrer les assauts les plus courants.

La société Valtech Training

Question: Avez-vous déjà réaliser une audite de sécurité par-rapport à votre site-web ? Croyez-vous votre site sécurisé ?

Cet ensemble d’exercices de sécurité, baptisé « Cyber Storm II », le plus important jamais réalisé, visait à déjouer des attaques dont la menace est « réelle et grandissante », a indiqué Robert Jamison, sous-secrétaire d’Etat à la Sécurité intérieure et responsable de ce programme.
Des experts de la sécurité des systèmes informatiques venus de cinq pays, plus de 40 entreprises privées et de nombreuses agences gouvernementales ont participé à ce programme. Le but était de tester les systèmes d’alerte existants et de tenter d’identifier des lacunes dans le partage d’informations entre différents secteurs et dans la manière dont leurs réactions sont coordonnées.
Plusieurs dizaines de spécialistes sont restés enfermés pendant cinq jours dans une pièce remplie d’ordinateurs au siège des services secrets américains à Washington, tandis que d’autres participaient à l’exercice en divers endroits aux Etats-Unis et à l’étranger, ainsi qu’au sein de grandes entreprises.

Une cyber-guerre simulant près de 1.800 attaques

Les participants ont dû affronter quelque 1.800 attaques simulées, allant d’incursion de « hackers » à une attaque informatique de nature politique capable de neutraliser suffisamment de réseaux pour nécessiter une réponse coordonnée au niveau international.

A l’issue de l’exercice, les responsables du département de la Sécurité intérieure ont refusé de donner des indications sur les menaces qu’ils avaient identifiées comme étant les plus dangereuses ou sur les failles du système de protection, invoquant des raisons de sécurité, mais ont indiqué qu’un rapport serait publié avant la fin de l’année.

Question: le web peut-il espèrer un jour être en total sécurité ? L’initiative des Etats-Unis est elle une bonne idée ?